16. Lehmann E., Casella G. Theory of Point Estimation, Second Edition Springer Texts in Statistics. Design, 1998. Vol. 41. Issue 3. 589 p.
17. Willmott Cort J., Matsuura Kenji. Advantages of the mean absolute error (MAE) over the root mean square error (RMSE) in assessing average model performance // Climate Research, 2005. 30. P. 79-82.
Грачева Инесса Александровна, студент, [email protected], Россия, Тула, Тульский государственный университет,
Копылов Андрей Валериевич, канд. техн. наук, доцент, [email protected], Россия, Тула, Тульский государственный университет
DYNAMIC RANGE COMPRESSION ALGORITHM OF HDR IMAGES ON THE BASIS OF THE STRUCTURE-PRESERVING FILTERING
I.A. Gracheva, A.V. Kopylov
In this paper, we propose the new tone mapping method for HDR images with using the tone mapping operator and the structure-preserving filtering on the basis of the probabilistic gamma-normal model. This method allows to compress the dynamic range of HDR images with saving of local structures. It has comparison quality of processing and lower computation time compared with other tone mapping operators of HDR images.
Key words: HDR image, tone mapping operator, dynamic range compression, probabilistic gamma-normal model.
Gracheva Inessa Alexandrovna, student, gia1509@mail. ru, Russia, Tula, Tula State University,
Kopylov Andrey Valerievich, candidate of technical sciences, docent, and. kopylov@gmail. com, Russia, Tula, Tula State University
УДК 004.75
АНАЛИЗ СОВРЕМЕННЫХ СИСТЕМ ЗАЩИТЫ WEB-СЕРВИСОВ
Е.М. Баранова
Представлен обзор проблем защиты Web-сервисов организаций от действий злоумышленников, описана базовая структура Web-сервиса, приведены особенности Web-среды, влияющие на защиту предоставляемой информации, систематизированы и проанализированы возможные угрозы, выработаны меры по устранению выявленных уязвимостей Web-сервисов.
Ключевые слова: Web-сервис, сайт, несанкционированный доступ, конфиденциальность информации, система защиты, аутентификация, идентификация, авторизация, разграничение прав доступа, сеть, протокол обмена, атака, инцидент.
Защитой Web-сервисов сегодня обеспокоены все организации, так как злоумышленники стремятся заполучить любую информацию о физическом или юридическом лице с целью ее несанкционированного использования.
93
Сегодня все организации (за исключением небольшой доли сектора малого бизнеса) ведут свой бизнес не только в реальном рыночном пространстве, но и в пространстве сети Интернет, где предоставляется клиентам, партнёрам, потенциальным клиентам удобные и доступные Web-сервисы (оформления заказа, сотрудничества, подачи заявки, информирования по горячей линии, консалтинга и прочее). Любая информация, необходимая для организации взаимодействия в рамках Web-сервиса может быть доступна злоумышленнику.
Следовательно, проблема защиты Web-сервисов сегодня является крайне актуальной.
В работе рассмотрены стандарты обеспечения информационной безопасности Web-сервисов, этапы и действия по защите Web-сервисов, в частности структурной единицы Web-сервиса - Web-сайта.
Web-сервис - это вызываемый удаленно программный компонент, имеющий заданные функциональные возможности, доступный по стандартным протоколам сети Интернет и пригодный для многократного использования.
Web-сервисы не зависят ни от программной платформы, ни от языка программирования, поскольку базируются на стандарте XML.
На рис. 1 представлена схема удаленного взаимодействия поставщиков и кли-ентовWeb-сервисa.
Рис. 1. Схема удаленного взаимодействия поставщиков и клиентов
Поставщик описывает Web-сервис с помощью языка WSDL (WebServiceDescriptionLanguage) и публикует сформированный WSDL-документ в регистре Web-сервисов. Внутренние устройства и интерфейсы регистра описываются стандартом UDDI (Universal Description Discovery and Integration). Используя данные об адресе, документе, клиент находит нужный ему Web-сервис. Затем клиент получает искомый Web-сервис у поставщика, обмениваясь с ним сообщениями по протоколу SOAP (SOAP (от англ. SimpleObjectAccessProtocol - простой протокол доступа к объектам) -протокол обмена структурированными сообщениями в распределённой вычислительной среде, через SOAP происходит взаимодействие как между Web-сервисами и сторонними приложениями, так и между разными Web-сервисами).
Приведенная схема демонстрирует особенности Web-сервисной среды, которые влияют на специфику их защиты.
К таким особенностям относятся:
- высокая доступность данных - Web-сервисы, собственно, и разрабатывались с целью повышения доступности и интегрируемости гетерогенных приложений;
- соединения с другими Web-сервисами и приложениями не ограничены физическими границами какой-либо защищенной сети;
- обмен данными происходит через общедоступную сеть Интернет, что предоставляет злоумышленникам расширенные возможности для их перехвата;
- данные передаются в формате, пропускаемом многими межсетевыми экранами (XML);
- возможность групповой адресации сообщений, затрудняющая применение средств информационной безопасности, ориентированных на одноадресную передачу;
- наличие особо уязвимых компонентов архитектуры Web-сервисов, в частности регистров, что позволяет вывести из строя сразу многие Web-сервисы в случае успешной DoS-атаки на уязвимый участок;
- минимальное участие человека в процессах реализации Web-сервисов - для большинства пользователей они представляются «черными» ящиками.
Веб-сервисы являются общим термином для международных стандартов, сформированных на базе языка XML, которые позволяют компьютерам обмениваться данными и выполнять бизнес-функции и операции через Интернет. Основные функции веб-сервисов позволяют создавать информационные услуги доступа к другим компьютерам, чем визуально, через браузеры. Веб-сервисы являются достаточно мощными и способны обеспечивать взаимодействие внутри систем, подразделений и компаний.
Основными компонентами веб-сервисов являются:
- сервер приложений, где размещается сервис (т.е. где функционирует ПО сервера);
- интерфейс сервиса (часто описываемый на языке веб-сервисов, WSDL);
- хранилище данных или справочник с описанием интерфейса на WSDL, чтобы клиенты веб-сервисов могли найти (и использовать) интерфейс;
- клиент веб-сервиса, желающий использовать веб-сервис;
- протокол связи (простой протокол доступа к объектам, то есть SOAP), позволяющий клиенту веб-сервиса общаться с сервисом.
Существует большое число «определений» того, что составляет веб-сервис, но обычно общепринятым определением является информационная услуга, раскрывающая информацию через SOAP стандарта W3C [1]. Клиент интерфейса SOAP должен знать, как получить доступ к этим информационным услугам. Данный доступ может описываться в формате другого стандарта W3C, языка описания веб-сервисов (WSDL). Создатели сервисов на базе SOAP публикуют файлы WSDL.
Согласно мнению аналитиков организации OASIS (WebServicesInteroperability), главные угрозы, нацеленные на Web-сервисы, - это несанкционированные изменения сообщений, потеря их конфиденциальности и аутентичности отправителей, DoS-атаки, то есть угрозы информационной безопасности Web-сервисов, практически идентичны угрозам, направленным на другие цифровые ресурсы.
Обеспечение информационной безопасности Web-сервисов предполагает использование общепринятых технологий информационной безопасности - шифрования, цифровых подписей, парольной защиты и т.д. Можно сказать, что стандарты информационной безопасности Web-сервисов соответствуют специфичной архитектуре ИБ Web-сервисов, но механизмы реализации данной архитектуры вполне традиционны.
В настоящее время разработан целый ряд стандартов и спецификаций информационной безопасности Web-сервисов.
На рис. 2 показана схема, отражающая основные стандарты и спецификации информационной безопасности Web-сервисов.
Одним из наиболее популярных стандартов является WS-Security, описывающий процессы аутентификации и авторизации в среде обмена SOAP-сообщениями.
WS-Security предусматривает аутентификацию пользователя по средствам пар логин/пароль, сертификатов Х.509 или протокола Kerberos. Эти же технологии реализуют цифровую подпись, позволяющую удостовериться в целостности сообщения. Разработчики WS-Security также позаботились и о шифровании SOAP-сообщений, определив механизмы использования в среде SOAP стандарта XML Encryption.
Защита Web-сервисов должна быть комплексной: от информационных угроз необходимо защищать не только БОЛР-сообщения, но также все другие составляющие архитектуры Web-сервисов:
- их интерфейсы;
- средства обнаружения сервисов (регистры) и т.д.
Например, последняя версия перспективного стандарта ЦОВ1 (ЦОВ1 (от английского Цшуег8аШе8шр1:юпВ18С0уегу&1п1е§га1;юп), то есть инструмент для расположения описаний веб-сервисов ^ББЬ) для последующего их поиска другими организациями и интеграции в свои системы) обеспечивает такие немаловажные с точки зрения информационной безопасности функции, как целостность данных и шифрование содержимого регистра Web-сервисов.
Соответствие критериям ИБ Обмен информацией об идентификации
WS-Trust XKMS WS-Federation Liberty Alliance
SAML
Безопасность сообщений
WS - S ecureC Olivers ation
WS-Securety WS-Rwliabffity
WS -ReliatleMes s a gin
Политики ПБ
WS-Policy
Контроль доступа
XACML SAML
Безопасность файлов | XML Encryption ||XML Signature |
Безопасность на уровне транспорта
SSL/TL S
Безопасность на уровне сети IP-Sec
Рис. 2. Основные стандарты и спецификации информационной безопасности
ЖеЬ-сервисов
Сегодня область стандартизации информационной безопасности Web-сервисов постоянно развивается и совершенствуется, и потому для обеспечения высокого уровня И Б мы рекомендуем использовать самые последние версии стандартов и спецификаций.
Большинство организаций, в независимости от их размера уделяют достаточно много внимания оформлению своих сайтов, функциональности и продвижению, пренебрегая при этом базовыми элементами безопасности.Основу Web-сервиса составляет Web-сайт. В последнее время участились акты взлома корпоративных Web-сайтов, что говорит о слабой защите, а также о том, что перегрузка одного или нескольких сервисов может привести к сбою работоспособности Web-серверов.
Ниже рассмотрены этапы защиты Web-серверов с целью предотвращения ха-керских атак или устранения их последствий. Описанные способы достаточно просты в применении. Следовательно, любая организация может взять их на вооружение.
Web-серверы - основа интернета. Для Web-серверов безопасность является значительной частью системы. Серверы уязвимы из-за того, что они рассчитаны на обмен информацией с пользователями. Поэтому хакеры могут внести изменения в код сервера или базы данных [1].Для защиты Web-серверов необходима совместная работа администраторов сайта, программистов и проектировщиков. Также должно быть установлено необходимо ПО: антивирус, распределение прав доступа и так далее.
Целесообразно выделить 3 этапа безопасности Web-сервера (табл.1).
Таблица 1
Этапы защиты Web-сервера_
Этап Наименование Состав этапа
I этап Начальный уровень безопасности 1. Обновление и модернизация установленного ПО. 2. Разделение задач по серверам. 3. Удаление лишних (ненужных) программ и приложений.
II этап Защита от вторжения 1. Установка Firewall. 2. Удаленное администрирование системы. 3. Ограничение на использование скриптов. 4. Фильтрация пакетов с помощью маршрутизаторов. 5. Повышение квалификации сотрудников, разграничение прав.
III этап Обнаружение и защита от атак 1. Разделение привилегий. 2. Аппаратные системы защиты. 3. Внутренний межсетевой экран. 4. Системы обнаружения атак на сеть. 5. Системы обнаружения атак на сервер.
Ниже представлено описание действий в рамках каждого этапа по защите Web-сервисов, в частности Web-сайтов.
I этап. Начальный уровень безопасности.
1. Обновление и модернизация установленного ПО
Это один из простых и наиболее эффективных методов уменьшения рисков. Все работающие Web-сервера должны постоянно (некоторые ежедневно) проверяться на предмет выхода обновлений.
Требование постоянно обновлять ПО вызвано тем, что любой установленное на сервере ПО может быть использовано хакерами для взлома системы. Поэтому операционные системы, программное обеспечение, сети, работающие с сетевыми пакетами, и системы безопасности должны быть защищены от доступа посторонних лиц.
Проверку ПО можно провести по следующему алгоритму:
- Запустить процедуру по поиску обновлений системы;
- Если вышли новые версии ПО, то установить их.
2. Разделение задач по серверам.
Обеспечение безопасности данных требует выделение ресурсов для каждой задачи. Если это не учитывать, то ошибка может привести к отказу работы нескольких сервисов. Например, не стоит размещать сервер баз данных и сервер электронной почты на одном компьютере. Но при этом каждый сервер должен быть защищен от хакер-ских атак [2].
3. Удаление лишних (ненужных) программ и приложений.
Все не обязательное программное обеспечение на сервере должно быть удалено. Существует привилегированное ПО - это ПО, работающее с сетевыми пакетами или запускающееся с правами администратора. Некоторые ОС могут запускать такое привилегированное ПО-автоматически и администраторы могут не знать об этом. При этом такие программы могут быть использованы хакера для атаки на сервер. Для безопасности необходимо удалить все ненужное ПОс сервера, чтобы уменьшить риск взлома системы.
II этап. Защита от вторжения.
1. Установка Firewall.
Установка межсетевого экрана между внутренней (корпоративной) сетью и Web-сервером может не допустить проникновение сторонних пакетов в сеть. Если атака произойдет на Web-сервер, который находится за корпоративной сетью, то firewall может защитить такую сеть от проникновения хакеров. Если же сервер находится внутри сети, то хакеры могут легко вносить свои изменения в сеть и нарушить ее работу [3].
2. Удаленное администрирование системы
Иногда не слишком удобно работать с сервером с физической консоли. Для этого системный администратор может установить на Web-сервер программное обеспечение для удаленного администрирования системой. С точки зрения безопасности, это не лучший вариант защиты сервера. Поэтому необходимо принимать следующие шаги, чтобы обезопасить Web-сервер:
A) Шифровать трафик удаленного администрирования, чтобы хакеры не смогли перехватить управление трафиком сети, получить пароли или установить свои программы.
Б) Использовать фильтрацию пакетов при удаленном администрировании из предназначенной для этого конфигурации хоста.
B) Поддерживать для этой конфигурации высокий уровень безопасности.
Г) Не использовать фильтрацию пакетов вместо шифрования, так как хакеры могут изменить IP адреса (посылать сообщения, заменяя свой IP адрес другим значением).
3. Ограничение на использование скриптов
Многие сайты содержат скрипты, которые запускаются при работе на сайте. Хакеры могут использовать неправильно написанные скрипты для проникновения в сеть. Поэтому программисты должны проверить написанный код, прежде чем он будет размещен в сети. Скрипты не должны запускать лишние программы или команды, а также позволять пользователям выполнение определенных задач.
4. Фильтрация пакетов с помощью маршрутизаторов
Маршрутизаторы необходимы для того, чтобы отделить Web-сервер от сети. Это помогает предотвратить попадание лишних пакетов в сеть. Маршрутизаторы могут удалять пакеты, которые не идут на сервер или к портам, используемым для удаленного администрирования системы. Для повышения безопасности можно указать пакеты, которые маршрутизатор будет пропускать. Такой маршрутизатор будет лучше защищать систему от хакерских атак. Но при использовании пакетной фильтрации снижается пропускная способность маршрутизатора.
5. Повышение квалификации сотрудников, разграничение прав
Низкий уровень знаний системных администраторов может привести к плохой защищенности системы. Поэтому специалисты, работающие в этом направлении, должны постоянно совершенствоваться, проходить специализированные курсы и самостоятельно изучать новые материалы [2].
III этап. Обнаружение и защита от атак.
1. Разделение привилегий.
Разделение привилегий необходимо для того, чтобы разграничить возможности каждого пользователя - пользователь может работать с определенным набором данных и программ. Поэтому если хакеры получат данные одного из пользователей и попадет в сеть, то они смогут нанести лишь небольшой вред системе. Также для обеспечения безопасности для пользователей, обладающих правами записи, можно создать личные поддиректории.
2. Аппаратные системы защиты.
Аппаратура, в плане распределения привилегий, имеет более высокий уровень безопасности, так как в отличие от программного обеспечения не так легко модифицируется. Но если хакеры получат доступ к программному обеспечению, то он может получить доступ и к аппаратным средствам. Одним их способов защиты от этого является ограничение режима записи на внешние жесткие диски. Для этого необходимо установить режим «только чтение».
3. Внутренний межсетевой экран.
В настоящее время Web-серверы часто взаимодействуют с другими хостами, получают и передают данные. В таком случае существует возможность размещения компьютеров за межсетевым экраном внутри корпоративной сети, обеспечивая этим безопасность хранимых данных. Но хакеры могут скомпрометировать Web-сервер, и он может быть использован для атаки на сеть. Для предотвращения этого следует отделить системы, работающие с серверами, от остальной части сети внутренним межсетевым экраном. Если хакерам удастся попасть на сервер, то он попадет только на часть корпоративной сети, тем самым это не приведет к атаке на всю сеть.
4. Системы обнаружения атак на сеть.
Несмотря на все возможности защитить Web-сервер, невозможно гарантировать полную безопасность системы. Web-сервер, защищенный от внешних атак, может быть поврежден из-за работы одного из сервисов. В таком случае необходимо быстро получать информацию о данных ошибках, чтобы быстро восстановить работу сервера и уменьшить риск повторной ошибки. Для получения этой информации используются средства обнаружения вторжений. Сетевые системы обнаружения вторжений (IDS) сканируют трафик сети и выявляют нехарактерную активность, нарушение защиты или блокировку сервера. Современные IDS делают отчет обо всех нарушениях и уведомляют администраторов сети, выводя сообщение на экран или высылая на электронную почту.
5. Системы обнаружения атак на сервер.
Системы обнаружения атак, размещенные на серверах, лучше определяют состояние сети, чем сетевые IDS. Серверные IDS обладают всеми свойствами сетевых IDS и обладают более высоким уровнем доступа к состоянию сервера. Поэтому они лучше находят попытки нарушения и взлома сервера. Недостатки такой системы в том, что если хакер проникнет на Web-сервер, то он сможет отключить серверные IDS, блокируя получение сообщений об атаке администраторам. Удаленные атаки на отказ сервера (DOS-атаки) также блокируют IDS на время выхода из строя сервера. Так как DOS-атаки позволяют хакерам блокировать сервер без проникновения на него, то IDS, расположенный на сервере, должен дополняться сетевой системой обнаружения атак
[3].
Для обеспечения качественной защиты Web-сервисов необходимо использовать качественное ПО. Также необходимо постоянно обновлять систему или отдельные компоненты. Администраторы сети должны обладать соответствующей квалификацией для обеспечения безопасности Web-сервиса.Основу безопасности Web-сервисовсоставляет облуживание Web-сайтов. Основные проблемы, связанные с безопасностью функционирования публично доступного Web-сайта, возникают по следующим причинам:
A) Неправильная конфигурация или другое некорректное действие над Web-сервером, которое может привести к раскрытию или изменению информации.
Б) Уязвимости ПО Web-сервера, которые могут допускать, например, чтобы атакующий компрометировал безопасность сервера или других хостов в сети.
B) Неадекватные механизмы защиты Web-сервера, предусмотренные в его окружении.
Г) ПО на стороне сервера (скрипты, JSP, ASP и т.п.), которое содержит ошибки, позволяющие атакующим компрометировать безопасность Web-сервера.
Атака может проводиться как из внешней, так и из внутренней сети, поэтому необходимо также осуществить безопасность внутри сети.
Список литературы
1. Запечников С.В. Информационная безопасность открытых систем. М.: ГЛТ, 2016. Т. 1. 536 с.
2. Мерсер Д. Создание надежных и полнофункциональных веб-сайтов, блогов, форумов, порталов и сайтов-сообществ. Вильямс - М., 2018. 272 с.
3. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: учебное пособие. М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. 416 с.
Баранова Елизавета Михайловна, канд. техн. наук, доцент, [email protected], Россия, Тула, Тульский государственный университет
ANALYSIS OF MODERN SYSTEMS FOR THE PROTECTION OF WEB SERVICES
E.M. Baranova
The paper presents an overview of the problems of protecting web-services organizations from malicious actions, describes the basic structure of the Web-service, presents the features of the Web-environment that affect the protection of the information provided, systematized and analyzed possible threats, developed measures to address the identified vulnerabilities of Web-services.
Key words: Web-service, website, unauthorized access, information confidentiality, security system, authentication, identification, authorization, access rights differentiation, network, exchange Protocol, attack, incident.
Elizaveta Mikhailovna Baranova, candidate of technical sciences, docent, elisafme@yandex. ru, Russia, Tula, Tula State University
УДК 519.816
КОРРЕКЦИЯ МЕТРИЧЕСКИХ НАРУШЕНИЙ НА ОСНОВЕ ПРОВЕРКИ
СТАТИСТИЧЕСКИХ ГИПОТЕЗ
С. Д. Двоенко, Д. О. Пшеничный
Предлагается обеспечить оптимальное снижение числа обусловленности матрицы нормированных скалярных произведений на основе проверки соответствующих статистических гипотез о значимости ее значений.
Ключевые слова: метрика, расстояние, скалярное произведение, сходство, различие, число обусловленности, статистическая гипотеза.
Современные экспериментальные данные в задаче машинного обучения часто представлены в виде парных сравнений. На практике применяются разные способы парного сравнения элементов множеств. Тем не менее, функции сравнения, реализуя интуитивные представления исследователя о сходстве или различии, часто не являются математически строгими расстояниями или скалярными произведениям, определенными на заданном множестве. Проблема заключается в том, что такие эмпирические функции сравнения не позволяют считать, что элементы данного множества погружены в метрическое пространство, образуя корректную конфигурацию. Исправление конфигурации на основе минимизации отклонений скорректированных парных сравнений от исходных приводит к плохо обусловленным матрицам парных сравнений. Поэтому необходимо не только исправить конфигурацию, устранив метрические нарушения, но и обеспечить оптимальную обусловленность соответствующих матриц парных сравнений.